מינהל המזון והתרופות האמריקאי (Food and Drug Administration - FDA) פרסם החודש טיוטת הנחיה בדבר אבטחת סייבר במכשור רפואי בעל יכולת חיבור לרשת. הרקע לטיוטת ההנחיה הוא השימוש הגובר במכשור רפואי המחובר לרשת המעורר סיכוני סייבר גדולים יותר ובעקבותיהם גם סיכונים קליניים משמעותיים. טיוטת ההנחיה מדגישה כי בטיחותו של מכשור רפואי תלויה גם באבטחת סייבר נאותה, ומכאן החשיבות שיש לעיצוב לאבטחה נאותה הכוללת גם יכולת התמודדות עם איומי סייבר מתפתחים לאורך מחזור החיים של המכשור הרפואי. הטיוטה גם מתווה את הכללים למסירת מידע הסייבר הנדרש למינהל לצורך אישור מקדים לשיווק מכשור רפואי המחובר לרשת.
טיוטת ההנחיה ממליצה ליצרני מכשור רפואי לפעול לפי מסגרת מתודית לפיתוח מוצר מאובטח (Secure Product Development Framework - SPDF), הכוללת:
- ניהול סיכוני אבטחה, לרבות אמצעי בקרה לסיכוני סייבר, תיקוף תהליכי יצור, ואמצעים לתיקון ולמניעה של סיכוני סייבר. במסגרת זו מומלץ לערוך מידול לאיומי סייבר, לבחון את איומי הסייבר הנשקפים מתוכנות צד-שלישי, ולאמוד את בעיות האבטחה שנובעות מאנומליות לא פתורות במוצר.
- גיבוש ארכיטקטורת אבטחה המתייחסת לכל המערכות הפנימיות והחיצוניות שמתממשקות עם המוצר. ארכיטקטורה זו כוללת אימות זהות, ניהול הרשאות גישה, שימוש בהצפנה, אבטחת שלמות הקוד, המידע וסביבת ההרצה, שמירת סודיות, זיהוי ותיעוד אירועים ביומן אירועים (לוגים), שרידות והתאוששות מפגיעויות, ויכולת עדכון של תיקוני אבטחה בקוד.
- גיבוש התיעוד הנדרש על תפיסת הגנת הסייבר במוצר - הן תיעוד טקסטואלי והן תיעוד תרשימי - תוך התייחסות לנקודות מבט שונות: נקודת מבט מערכתית, נקודת מבט של נזק למטופלים, נקודת מבט של עדכוני אבטחה, ונקודת מבט של תרחישי אבטחה.
- ביצוע בדיקות אבטחת מידע מקיפות, לרבות בדיקת חולשות ובדיקות חדירות, ותיעוד שלהן במסמכים המוגשים לאישור מינהל המזון והתרופות.
- שקיפות על אודות איומי סייבר באמצעות תוויות אזהרה ומסמכי תיעוד למשתמשים שונים כגון מטופלים ונותני שירות.
הטיוטה פתוחה להערות הציבור עד ל-7 ביולי, אז ייגש המינהל למלאכת הכנת ההנחיה הסופית. ההנחיה תחשב להמלצה של מינהל המזון והתרופות אך לא תהיה מחייבת משפטית כשלעצמה.